Claude Desktop エクステンションの深刻な脆弱性:Web コンテンツ → AI 処理 → ローカル実行の構造とは?

Critical RCE Vulnerabilities in Claude Desktop Let Attackers Execute Malicious Code

2025/11/06 CyberSecurityNews — Anthropic の Claude Desktop の公式エクステンション3件に、深刻なリモート・コード実行 (RCE) の脆弱性が発見された。この脆弱性 CVE-N/A (CVSS:8.9) は、サニタイズされていないコマンド・インジェクションに起因し、Chrome/iMessage/Apple Notes コネクタに影響を及ぼすものだ。一連のエクステンションは、Anthropic のマーケットプレイスのトップページで公開/宣伝されている。この脆弱性を悪用する攻撃者は、無害に見える AI アシスタントとのインタラクションを通じて、ユーザー・マシン上で任意のコード実行の可能性を得るという。ただし、すでに Anthropic は、3件の脆弱性を修正しているという。

KOI Security による今回の発見が浮き彫りにするのは、強力な言語モデルとローカル・システムの接続を、最小限のセキュリティ保護策で対処しようとするエクステンションが示す、新たな AI エコシステムにおけるリスクである。

ブラウザのアドオンとは異なり、これらのツールは完全なシステム権限で動作するため、基本的なセキュリティ上の見落としにより被害が拡大する。

Claude デスクトップ・エクステンションについて

Claude デスクトップ・エクステンションは、パッケージ化された MCP サーバとして機能し、”.mcpb” バンドルとして配布される。そこに含まれるのは、サーバ・コードと関数マニフェストを取り込んだ zip アーカイブである。

Extension Source: KOI

Chrome エクステンションと同様に、ワンクリックでインストールが可能であるが、ブラウザ環境を保護するサンドボックスに相当する機能はない。したがって、ホスト・マシン上でサンドボックス化されずに実行されるため、ファイル/コマンド/認証情報/システム・コンフィグへのアクセスが許可される。

この設計により、Claude デスクトップ・エクステンションは、Claude の AI とオペレーティング・システム間の特権的な仲介者として位置付けられるため、パワフルであると同時に危険な存在になる。

今回の脆弱性を悪用する攻撃者は、この信頼関係の欠点を突ける。なぜなら、それぞれのエクステンションは、URL やメッセージなどのユーザー入力を、適切なサニタイズ処理を行わずに AppleScript コマンドで処理するからだ。

たとえば、Chrome を介して URL を開くコマンドは、テンプレート・リテラルを使用して入力を直接挿入していた。つまり、”Google Chrome to open location” のような指示が行われる。

したがって、文字列のコンテキストをエスケープする悪意の入力を作成する攻撃者は、任意の AppleScript を挿入することで、昇格された権限でシェル・コマンドを実行できる。

単純なエクスプロイト・ペイロードとして考えられるのは、引用符をエスケープしてリモート・コードを実行するものだ。典型的なコマンド・インジェクションの脆弱性は、ソフトウェア・セキュリティにおける最も古い問題の一つであり、根本的なエラーが製品版コードに残る可能性を浮き彫りにしている。

Attack Chain (Source : KOI)

真の危険は、ユーザーが悪意のコマンドを入力することではなく、Web コンテンツを介したプロンプト・インジェクションにある。KOI Security によると、Claude Desktop は質問への回答のために Web ページを定期的に取得/分析しており、意図しない攻撃ベクターを生み出しているという。

したがって、検索結果ページを制御する攻撃者は、Claude のユーザー・エージェントを検出し、カスタマイズされた悪意のコンテンツを表示する可能性を得る。

それを有用な指示と解釈する AI は、脆弱な Chrome エクステンションを起動する。その結果として、挿入されたコードはサイレントに実行され、SSH キー/AWS 認証情報/ブラウザ・パスワードの窃取を可能にし、ユーザーに疑われることなくバックドアをインストールできる。

Web コンテンツ → AI 処理 → ローカル実行へと至る一連の流れにより、リモート攻撃者に対してシェル・アクセスが許可される。この攻撃チェーンでは、マルウェアのダウンロードやフィッシングは不要であり、通常の AI クエリで十分である。

Anthropic のオリジナル・エクステンションに存在する脆弱性により、MCP エコシステムの成熟度に関する懸念が引き起こされる。独立系の開発者たちが限定的なレビューの下で AI 支援コードを市場に氾濫させると、フル権限のエクステンションのリスクが増大する可能性がある。

したがって、ユーザーにとって必要なことは、これらのツールを単なるプラグインとしてではなく、高リスクの実行ファイルとして扱うべきものである。もちろん、ソフトウェアの更新においても優先すべきものとなる。

Anthropic の迅速な修正により、当面の脅威は軽減されるが、今回のインシデントが示唆するのは、AI プラットフォーム全体にわたる堅牢なセキュリティ対策の必要性である。

Claude Desktop の公式エクステンションが、URL やメッセージなどの入力に対して十分なサニタイズを行わないため、AppleScript に埋め込んで実行系へ渡していたという設計が見直されたようです。デスクトップ側にサンドボックスに相当するものがなく、高権限で実行されるため、Web 経由のプロンプト・インジェクションがローカル実行へ連鎖しやすく、Chrome/iMessage/Notes 連携でも同様の危険が生じていたと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Claude で検索を、ご参照ください。